Security First

Come prevenire gli attacchi DDoS Slowloris

2 minuti lettura
Come prevenire gli attacchi DDoS Slowloris

Al giorno d’oggi, gli attacchi DDoS (Distributed Denial of Service) sono all’ordine del giorno.

È un tentativo di attacco molto sofisticato, che vuol sopraffare le vittime generando traffico su un server, provocando l’interruzione del servizio. La difficoltà maggiore che si riscontra quando si ha a che fare con un attacco DDoS, è l’impossibilità da parte dei firewall di svolgere la loro funzione di protezione. La ragione di ciò sta nel fatto che il più delle volte le macchine coinvolte nell’attacco sono molte e provengono da aree geografiche diverse. È la grande quantità di richieste a mandare in tilt il sistema.

Che cos’è l’attacco DDoS Slowloris?

Nel 2009, la RSnake ha rivelato l’esistenza di un cyber attacco che ebbe largo successo nei forum e blog di settore. Questo veniva effettuato con uno strumento che non richiedeva larghezza di banda in quanto colpiva esclusivamente l’HTTP senza influire sugli altri servizi in esecuzione sul server. Il nome attribuito a questo meccanismo gli calza decisamente a pennello: “Slowloris“, in quanto può portare in down un server web con una procedura lenta e metodica.

Slowloris colpisce utilizzando richieste HTTP parziali e mantenendo tali connessioni aperte in simultanea il più a lungo possibile.

Come funziona un attacco Slowloris HTTP?

Il malintenzionato apre anzitutto più connessioni al server tramite richieste HTTP parziali. Se una connessione richiede troppo tempo per completare una richiesta, il server interromperà la connessione liberando il thread, quindi il processo del server che gestisce le richieste/connessioni del client, per la richiesta successiva. In questo caso, il cyber criminale invia regolarmente richieste HTTP parziali al server di destinazione per mantenere attiva la connessione e fino a sopraffare il server.

La chiave dietro uno Slowloris è la sua capacità di effettuare attacchi con un consumo di larghezza di banda molto ridotto.

Come prevenire un attacco di Slowloris?

Esistono delle attività per mitigare un attacco Slowloris, come:

  • Utilizzare un Hardware Load Balancer che accetti solo connessioni HTTP complete è il modo migliore per bloccare un attacco, questo perché il Load Balancer controlla il pacchetto ed inoltra al server web solo le richieste http complete.
  • Se si utilizza un BIG-IP Load Balancer basato su F5 vi consigliamo la lettura dell’approfondimento su MyF5
  • Utilizzare una CDN come Cloudflare. Cloudflare bufferizza le richieste in arrivo prima di iniziare a inviare qualsiasi cosa al server di origine . Di conseguenza, il traffico di attacchi “basso e lento” come gli attacchi di Slowloris non raggiunge mai l’obiettivo prefissato. Scopri di più su come la protezione DDoS di Cloudflare blocca gli attacchi slowloris.
Avatar photo
460 articoli

Note sull'autore
Appassionata di comunicazione digitale, in Shellrent scrivo e condivido contenuti tecnici, informativi e novità del mondo IT. Fuori dall'ufficio mi divido tra stadi, montagna e altri angoli del mondo.
Articoli
Articoli correlati
Security First

Cos’è e come funziona un attacco brute force

3 minuti lettura
Esistono diversi attacchi cyber che possono compromettere il funzionamento dei siti web. Tra questi, il brute force è uno dei più frequenti e…
Security First

Cos'è un "trojan horse" e come difendersi dal malware

4 minuti lettura
Nel corso degli anni, la sicurezza informatica ha acquisito un’importanza sempre più centrale. Una delle minacce più diffuse nel settore è il…
Security First

Come verificare se un indirizzo IP è in blacklist e come rimuoverlo

3 minuti lettura
Se i messaggi di posta elettronica non raggiungono i destinatari, una delle prime ipotesi da prendere in considerazione è la possibilità che…